漏洞概要
| 漏洞名称 |
OpenSSL多个漏洞 |
| 发布时间 |
2022年11月2日 |
| 组件名称 |
OpenSSL |
| 安全公告链接 |
https://www.openssl.org/news/secadv/20221101.txt |
二、漏洞分析
2.1 组件介绍
在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包被广泛应用在互联网的网页服务器上。
2.2 漏洞简介
2022年11月2日,深信服安全团队监测到一则OpenSSL官方发布安全补丁,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。
| 序号 |
漏洞名 |
漏洞编号 |
影响版本 |
严重等级 |
| 1 |
OpenSSL X.509 邮件地址变量长度缓冲区溢出漏洞 |
CVE-2022-3786 |
3.0.0≤OpenSSL≤3.0.6 |
高危 |
| 2 |
OpenSSL X.509 邮件地址4字节缓冲区溢出漏洞 |
CVE-2022-3602 |
3.0.0≤OpenSSL≤3.0.6 |
高危 |
2.3高危漏洞描述
OpenSSL X.509 邮件地址变量长度缓冲区溢出漏洞(CVE-2022-3786)
该漏洞是位于punycode解码函数中的缓冲区溢出漏洞,攻击者可利用该漏洞构造恶意数据执行恶意邮件地址在栈上溢出包含“.”字符的任意字节数量,最终造成缓冲区溢出、程序崩溃。
OpenSSL X.509 邮件地址4字节缓冲区溢出漏洞(CVE-2022-3602)
该漏洞是位于punycode解码函数中的缓冲区溢出漏洞,攻击者可利用该漏洞在指定的平台或编译器上构造恶意数据可执行远程代码攻击,最终可获取服务器最高权限。
三、影响范围
OpenSSL全球使用量达数千万,可能受漏洞影响的资产广泛分布于世界各地,今年曝出的漏洞都是高危及致命漏洞,涉及用户量大,导致漏洞影响力很大。
四、解决方案
4.1修复建议
1.如何检测组件系统版本
在终端输入以下命令:
openssl version
2.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://www.openssl.org/source/
评论